2019年1月,中国人民银行会同中国银行保险监督管理委员会、中国证券监督管理委员会发布了《金融行业实施推进ipv6规模部署行动计划实施意见》,提出了金融行业ipv6规模部署的规划和推进路径,金融行业ipv6规模部署稳步有序推进。目前,一些组织的一些系统已经实现了从ipv4到ipv6的平稳过渡。后ipv4时代金融业的网络安全亟待加强。

加强金融行业网络安全

安全挑战

Ipv6是分组交换互联网的网络层协议,由互联网工程任务组设计,以取代ipv4协议,主要用于寻址和路由。作为下一代网络协议,ipv6在安全性上明显优于ipv4。空房间里有一个巨大的地址;多播而不是广播;使用ipsec加密系统。但是没有任何协议是绝对安全的。随着ipv6在金融业的大规模部署,新的安全挑战出现了。从网络协议的角度来看,ipv6作为下一代ipv4,与ipv4是同一个网络层的传输协议,其原理是相似的,因此必然会面临一些继承ipv4的安全问题。同时,在从ipv4到ipv6的转换过程中,各种过渡技术和方案的安全风险不容忽视。

加强金融行业网络安全

(a) ipv6新的安全问题。ipv6消息结构中引入的新领域和ipv6协议家族中引入的新协议可能会导致新的安全问题。一种是使用扩展头来攻击拒绝服务。为了提高路由器转发数据包的效率,ipv6设计了扩展报头而不是ipv4的选项。但是,ipv6数据包可以支持无限长的任意数量的扩展报头。在处理包含ipv6扩展头的数据包的过程中,ipv6路由器只需要处理逐跳选项扩展头。如果攻击者此时发送大量扩展头,路由器将花费大量时间和速度来处理扩展头,从而导致性能下降和拒绝服务攻击。第二,地址欺骗攻击。Ipv6使用邻居发现协议(ns)来发现其他节点和相应的地址。ns消息将在节点之间的初始适配期间发送,此时ns消息包含对应于节点的地址。如果攻击者此时伪造了相应的ns消息,并向发送节点返回该地址已被使用的消息,则该节点将被迫更改该地址。通过不断的攻击,节点将无法完成地址适配,从而无法正常通信。第三,ipsec漏洞攻击。在部署了ipsec的设备之间进行通信时,内容在整个传输过程中是透明的,没有密钥就不可能知道内容。一旦窃听者通过某种方式获得密码,此时传输的数据将会被顺利获取,对信息安全构成威胁。第四是ipv6碎片攻击。在数据处理过程中,ipv6丢弃小于1280字节的数据包,并引入入侵检测系统,可以有效避免可能的碎片攻击。然而,攻击者仍然可以重组,然后在分割时打乱数据。此时,监控系统将无法识别正确的序列,攻击数据将趁机进入。攻击者还可以故意不发送部分分段数据包或发送多个分段数据包,从而耗尽内存资源并导致系统崩溃。

加强金融行业网络安全

(2)从ipv4到ipv6过渡期间的安全问题。目前,金融业正在逐步实施从ipv4到ipv6的过渡,ipv4将与ipv6共存一段时间。金融业在过渡时期采用的技术方案主要包括双栈技术、隧道技术和nat地址转换,这也给金融业的网络安全带来了新的问题。双栈技术同时运行ipv4和ipv6逻辑信道,这增加了系统的暴露。它需要在防火墙和其他安全设备中配置双栈策略,这使得维护风险加倍,网络防火策略更加复杂,网络入侵的可能性加倍。隧道技术缺乏内置的认证、完整性、加密等安全功能,只对数据包进行简单的封装和解封装操作。内置身份验证不充分,并且没有安全保证。它没有严格检查ipv4和ipv6之间的地址关系,导致隧道消息容易泄漏。通过伪造内部和外部地址,流量以合法用户的形式注入隧道。nat地址转换的应用使得ip流在不同协议之间进行转换,这涉及到负载转换,容易形成nat设备地址池耗尽的问题,导致ddos攻击。作为ipv6和ipv4的互联节点,出口边缘的翻译设备成为nat的安全瓶颈,一旦遭到攻击,可能导致网络瘫痪。

加强金融行业网络安全

回应

Ipv6设计了一系列的安全机制,提升了网络的安全性。然而,金融业在认识到ipv6安全优势的同时,也应关注ipv6存在的安全问题,深入研究ipv6的技术特点,针对各种可能的安全威胁,改进技术手段,建立健全防范机制,进而提升ipv6在经济和金融领域深度融合的安全保障能力。

加强金融行业网络安全

(a)提高安全意识。金融业应强化风险控制意识,坚持发展与安全同步,推进ipv6规模部署和网络安全同步规划、建设和运行。要统筹考虑基础设施层、应用层和业务层的安全保护,加强纵深防御体系,采取措施加强各层面的安全漏洞管理,防范ipv6升级带来的安全生产风险。

加强金融行业网络安全

(二)加强行业沟通。通过金融业、金融业和信息产业的共同努力,我们可以及时了解ipv6技术发展趋势、行业和行业发展状况,分享ipv6改造的保护经验,并以优秀企业的技术实力不断学习和吸收先进的保护技术和理念。分工开展金融行业各种ipv6软硬件基础设施测试,降低金融行业ipv6产品应用的重复试错成本。

加强金融行业网络安全

(三)确保资金投入。金融业应拨出专项费用用于网络设备升级和购买相应的保护服务。确保路由器、防火墙和入侵检测系统的软硬件功能和性能满足ipv6的安全需求。同时,资金应满足ipv6网络安全等级保护和风险评估的需要。

加强金融行业网络安全

(4)做好技术保护工作。针对ipv6引入后网络安全领域出现的新问题,金融业采取了隧道静态配置、地址密码生成、扩展头有效性检查、网络层加密、关闭不必要的服务端口、细化边界设备过滤规则、防范翻译设备ddos攻击等策略和方法。确保业务连续性能力和安全保护能力不低于原始水平。

标题:加强金融行业网络安全

地址:http://www.jsswcm.com/jnxw/13949.html